Sidokanalsignaler och blixtar från avlägsna stormar kan en dag hjälpa till att förhindra hackare från att sabotera elektriska transformatorstationer och annan kritisk infrastruktur, tyder en ny studie på.

Genom att analysera elektromagnetiska signaler som sänds ut av transformatorstationskomponenter med hjälp av ett oberoende övervakningssystem, säkerhetspersonal kunde se om strömbrytare och transformatorer manipulerades i fjärrutrustning. Bakgrundsblixtsignaler från tusentals mil bort skulle autentisera dessa signaler, förhindrar illvilliga aktörer från att injicera falsk övervakningsinformation i systemet.

Forskningen, gjort av ingenjörer vid Georgia Institute of Technology, har testats på transformatorstationer med två olika elnät, och genom omfattande modellering och simulering. Känt som radiofrekvensbaserat distribuerat intrångsdetektionssystem (RFDIDS), Tekniken kommer att beskrivas den 26 februari vid 2019 Network and Distributed System Security Symposium (NDSS) i San Diego.

"Vi borde kunna fjärrupptäcka alla attacker som modifierar magnetfältet runt transformatorstationens komponenter, sa Raheem Beyah, Motorola Foundation Professor vid Georgia Techs School of Electrical and Computer Engineering. "Vi använder ett fysiskt fenomen för att avgöra om en viss åtgärd vid en transformatorstation har inträffat eller inte."

Att öppna transformatorstationsbrytare för att orsaka ett strömavbrott är en potentiell kraftnätsattack, och i december 2015, den tekniken användes för att stänga av strömmen till 230, 000 personer i Ukraina. Angripare öppnade brytare i 30 transformatorstationer och hackade sig in i övervakningssystem för att övertyga elnätsoperatörer om att nätet fungerade normalt. Till toppen av det, de attackerade också callcenter för att hindra kunder från att berätta för operatörerna vad som hände.

"Elnätet är svårt att säkra eftersom det är så massivt, ", sa Beyah. "Det ger en elektrisk anslutning från en generatorstation till apparaterna i ditt hem. På grund av denna elektriska anslutning, det finns många ställen där en hacker potentiellt kan lägga in en attack. Det är därför vi behöver ett oberoende sätt att veta vad som händer på nätsystem."

Det oberoende tillvägagångssättet skulle använda en antenn placerad i eller nära en understation för att detektera de unika radiofrekventa "sidokanalsignaturerna" som produceras av utrustningen. Övervakningen skulle vara oberoende av system som nu används för att övervaka och styra nätet.

"Utan att lita på något alls på nätet, vi kan använda en RF-mottagare för att avgöra om en impuls inträffade i form av en "öppen" operation, ", sa Beyah. "Systemet fungerar på 60 Hertz, och det finns få andra system som fungerar där, så vi kan vara säkra på vad vi övervakar."

Dock, hackare kanske kan ta reda på hur man infogar falska signaler för att dölja sina attacker. Det är där blixtutsläppen som kallas "sferics" kommer in.

"När en blixt slår ner i marken, den bildar en elektrisk väg mil hög, potentiellt bära hundratusentals ampere ström, så det ger en riktigt kraftfull antenn som strålar ut energi, sa Morris Cohen, en docent vid Georgia Tech School of Electrical and Computer Engineering. Varje blixt skapar signaler i det mycket låga frekvensbandet (VLF), som kan reflektera från den övre atmosfären för att resa långa sträckor.

"Signaler från blixtar kan sicksacka fram och tillbaka och ta sig hela vägen runt världen, ", noterade Cohen. "Blixt från Sydamerika, till exempel, är lätt att upptäcka i Atlanta. Vi har till och med sett blixtar eka flera gånger runt om i världen."

Säkerhetspersonal som fjärrövervakar transformatorstationer skulle kunna jämföra blixten bakom 60 Hz transformatorstationssignalerna med blixtdata från andra källor, som en av de 70, 000 eller så andra transformatorstationer i USA eller en global blixtdatabas. Det skulle autentisera informationen. Eftersom blixten inträffar mer än tre miljoner gånger varje dag i genomsnitt, det finns gott om möjligheter att autentisera, noterade han.

"Även om du kunde syntetisera RF-mottagarens dataflöde digitalt, att generera något realistiskt skulle vara svårt eftersom formen på pulsen från blixten som detekteras av våra mottagare varierar som en funktion av avståndet från blixten, tiden på dagen, latitud och mer, ", sa Cohen. "Det skulle krävas mycket realtidsberäkning och kunskap om sofistikerad fysik för att syntetisera blixtsignalerna."

Arbeta med två olika elbolag, forskarna – inklusive doktorandforskaren Tohid Shekari – analyserade RF-signalerna som producerades när brytare stängdes av för underhåll av transformatorstation. De använde också datorsimuleringar för att studera en potentiell attack mot systemen.

"Signalen från ett blixtnedslag är mycket distinkt - den är kort, runt en millisekund, och täcker ett stort frekvensområde, " Cohen tillade. "Den enda andra processen på jorden som är känd för att generera något liknande är en kärnvapenexplosion. Utsläppen från elnätet är väldigt olika och inget av det ser ut som en blixtpuls, så det är lätt nog att separera signalerna."

Forskarna har lämnat in ett provisoriskt patent på RFDIDS, och hoppas kunna förfina säkerhetsstrategin ytterligare, oberoende av utrustningstillverkare. Beyah tror att det kan finnas tillämpningar utanför kraftindustrin för fjärrövervakning av andra RF-emitterande enheter. Systemet kan berätta för transitoperatörer om ett tåg var närvarande, till exempel.

"Elnätet är vår mest kritiska del av infrastrukturen, " Beyah noterar. "Ingenting annat spelar roll om du inte har ström."

Utöver de som redan nämnts, forskargruppen inkluderade också nyutexaminerade magisterexamen Christian Bayens och biträdande professor Lukas Graber, båda från Georgia Tech.